Deutscher Bundestag 

17. Wahlperiode 


Drucksache 1 7/6972 


09. 09. 2011 


Antwort 

der Bundesregierung 


auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, 
Wolfgang Wieland, Memet Kilic, weiterer Abgeordneter und der Fraktion 
BÜNDNIS 90/DIE GRÜNEN 
- Drucksache 17/6849 - 


Datensicherheit und Datenschutz bei Zoll und Bundespolizei 


Vorbemerkung der Fragesteller 

Anfang Juli dieses Jahres wurde bekannt, dass ein Hacker-Angriff auf Server 
des Zolls erfolgte. Eine Gruppe mit Namen „No-Name-Crew“ war dabei of- 
fenbar in den Besitz von Daten des Zolls gelangt und hatte diese anschließend 
im Internet veröffentlicht. Zu den veröffentlichten Daten sollen Klamamen 
von Fahndern und observierten Tatverdächtigen, Krafitfahrzeugkennzeichen 
ausgespähter Fahrzeuge und die Passwörter von Peilsendem der Ermittler zäh- 
len. Auch Daten des Zielverfolgungssystems Patras sollen von den Veröffent- 
lichungen betroffen gewesen sein. Zwischenzeitlich liegen dazu weitere, teil- 
weise widersprüchliche Medienberichte vor. „FOCUS Online“ zitiert am 
16. Juli 2011 aus internen Untersuchungsberichten des Bundesamtes für Sicher- 
heit in der Informationstechnik (BSI) sowie des Zolls, wonach Angriffe der 
Hackergruppe auf Server der Bundespolizei bereits vor ca. einem Jahr erfolgt 
seien. Das BSI geht davon aus, dass alle für den Betrieb von Patras bei den un- 
terschiedlichsten Dienststellen unterhaltenen Server kompromittiert seien. Es 
seien „Trojaner“ auf die nur unzureichend abgesicherten Reehner der Bundes- 
polizei eingeschleust worden, welche das Patras-System als verantwortlicher 
Dienstleisterin für andere Behörden betreibt. Ferner sei die von der Bundes- 
polizei den Partnerbehörden zur Verfügung gestellte Software zur Absicherung 
der Server für die Erfüllung dieses Zweckes ungeeignet. Auch die Handlungs- 
anweisungen für den Betrieb der Patras-Datenbank sollen in keinster Weise 
gängigen Sicherheitsstandards entsprochen haben. Das Ausmaß der erlangten 
Daten und Informationen aus dem Zuständigkeitsbereich sowohl von Bundes- 
polizei, Bundeskriminalamt und Zoll ist somit bis heute weitgehend ungeklärt. 
Zwischenzeitlich wurde gemeldet, es seien zwei von drei bereits identifizier- 
ten Tatverdächtigen festgenommen worden, einer sei geständig (sueddeut- 
sche.de vom 18. Juli 2011). Laut Meldungen vom 9. August 2011 (unter ande- 
ren SPIEGEL ONLINE) soll bereits vor zwei Jahren der private Rechner eines 
Zollbeamten mit einem Trojaner infiziert worden sein. Dieser habe eine dauer- 
hafte Mailumleitung von seiner dienstlichen Adresse auf seine private Mail- 
adresse vorgenommen, so dass sämtliche dienstlich erhaltenen Informationen 
dem Zugriff durch Unbefugte offenstanden. 


Die Antwort wurde namens der Bundesregierung mit Sehreiben des Bundesministeriums des Innern vom 8. September 2011 
übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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Vorbemerkung der Bundesregierung 

Die sogenannte No-Name-Crew hat am 7. Juli 2011, um 18.04 Uhr, in einem 
Bekennerschreiben an das „Hamburger Abendblatt“ die Veröffentlichung von 
Daten der Bundespolizei angekündigt. Am 7. Juli 2011 gegen 23.40 Uhr er- 
schienen auf der Webseite der „No-Name-Crew“ Softwarepakete und dazuge- 
hörige Anwendungshinweise sowie Einsatzdaten aus einem Zielverfolgungs- 
system „Paip-Tracking-Server“ (PATRAS). Mit diesem Geoinformationssys- 
tem können berechtigte Nutzer die Standorte der Zielverfolgungseinheiten 
(GPS-Tracking Units) feststellen und dokumentieren. Diese Geo-Daten sind 
mittels einer kartengestützten Webanwendung grafisch darstellbar. 

Nach Bekanntwerden des Sicherheitsvorfalls wurden alle eingesetzten 
PATRAS -Systeme unverzüglich vom Netz getreimt und abgeschaltet. 

Am 16. Juli 2011 wurde in einer ergänzenden Veröffentlichung der „No-Name- 
Crew“ nach derzeitiger Erkeimtnislage die unzutreffende Behauptung aufge- 
stellt, man habe ein Jahr lang den Netzwerkverkehr des BKA, der Bundespoli- 
zei und des Zolls mitgeschnitten. 

Die forensische Untersuchung der abgeschalteten Server sowie der im Rahmen 
der Ermittlungen sichergestellten Daten dauert an. Nach derzeitigem Stand der 
Ermittlungen sind jedoch keine Netzwerke der Sicherheitsbehörden kompro- 
mittiert worden. 


1 . Wie viele sicherheitsrelevante Zwischenfälle bei Bundespolizei-, Zoll- und 
Sicherheitsbehörden kann die Bundesregierang für die zurückliegenden 
drei Jahre bis heute bestätigen, bei denen nicht ausgeschlossen werden 
kann, dass personenbezogene und/oder sicherheitsrelevante Daten und In- 
formationen aus dem Bereich dieser Stellen für den Zugriff unbefugter 
Dritter offenstanden? 

Bei der Bundespolizei kam es in den zurückliegenden drei Jahren zu zwei 
sicherheitsrelevanten Vorfällen (Angriff auf das PATRAS-System und Kompro- 
mittierung des privaten Rechners eines Bundespolizisten), bei denen Informa- 
tionen aus dem Bereich der Bundespolizei für Dritte verfügbar gewesen sein 
könnten. 

Der Zollfahndungsdienst betrieb an zwei Standorten jeweils einen PATRAS- 
Server. 

Beide Server wurden von unbefugten Dritten mit Schadsoflware kompromit- 
tiert. 

Im Bundeskriminalamt gab es für die zurückliegenden drei Jahre keine Zwi- 
schenfälle, bei denen sicherheitsrelevante und/oder personenbezogene Daten 
und Informationen für den Zugriff unbefugter Dritter offen standen. 


2. Welche Stellen des Bundes und/oder der Länder waren bzw. sind von den 
oben genannten, jüngsten Angriffen konkret betroffen? 

Nach derzeitigem Stand der Ermittlungen waren im Bereich des Bundes der 
Zollfahndungsdienst und die Bundespolizei von den jüngsten Angriffen betrof- 
fen. 

Darüber hinaus sind nach Keimtnis der Bundesregierang vier Bundesländer 
gleichartigen Angriffen ausgesetzt gewesen. Die Bundesregierung hat zu die- 
sen außerhalb ihres Verantwortungsbereichs liegenden Systemen der Bundes- 
länder keine detaillierten Erkenntnisse. 


Deutscher Bundestag - 17. Wahlperiode 


-3- 


Drucksache 17/6972 


3. Seit wann ist der Bundesregierung bzw. den zuständigen Stellen bekannt, 
dass ein entsprechender Einbruch in das System stattgefunden hat bzw. die 
Möglichkeit dazu bestand? 

Die „No-Name-Crew“ hatte am 7. Juli 2011, um 1 8.04 Uhr, in einem Bekenner- 
schreiben an das „Hamburger Abendblatt“ die Veröffentlichung von Daten der 
Bundespolizei angekündigt. Durch das „Hamburger Abendblatt“ wurde die Bun- 
despolizei informiert, die wiederum das Bundesministerium des Innern und das 
Bundesamt für Sicherheit in der Informationstechnik über den Sachverhalt unter- 
richtete. 


4. Hinsichtlich welcher konkreten Daten und Informationen aus dem Bereich 
dieser Behörden kann bestätigt bzw. nicht ausgeschlossen werden, dass 
diese, wenn auch nur vorübergehend, dem Zugriff der Angreifer offen- 
standen? 

Nach derzeitigem Stand der Ermittlungen handelt es sich um Softwarepakete 
und Servicemitteilungen zur Installation von PATRAS-Servem der Bundespoli- 
zei, die ohne notwendigen Freischaltschlüssel nicht verwendet werden können. 
Aus dem Bereich des Zollfahndungsdienstes konnten anonyme GPS-Tracking 
Daten, die Anwahlnummem der eingesetzten Peilsender, Verzeichnisnamen so- 
wie die Bezeichnung der sachbearbeitenden Dienststellen eingesehen werden, 
ln einem Fall wurden dazu gehörige Kfz-Keimzeichen und der PKW-Typ aus- 
gelesen, die irrtümlich auf dem Server abgelegt waren. 

Hinsichtlich der Weiterleitung dienstlicher E-Mails an ein privates E-Mail- 
Postfach hatten die Tatverdächtigen über einen längeren Zeitraum Zugang zu 
dem privaten Rechner eines Bundespolizisten, welcher sich weisungswidrig 
dienstliche Dateien an sein privates E-Mail-Postfach weitergeleitet hat. Dadurch 
standen den Angreifern zeitweise lokal begrenzte Dienststelleninformationen 
(Organisationspläne, Dienstanweisungen, Formulare) zur Verfügung. Diese 
E-Mailweiterleitung stand in keinem direkten Zusammenhang mit dem 
PATRAS-Sicherheitsvorfall. 


5. Hinsichtlich welcher konkreten Daten und Infonnationen kann bestätigt 
werden, dass diese, wenn auch gegebenenfalls nur vorübergehend, im In- 
ternet zum Abruf zur Verfügung standen? 

Im Internet sind durch die Veröffentlichung der „No-Name-Crew“ die in der 
Antwort zu Frage 4 dargestellten Daten veröffentlicht worden. Sie standen dort 
zeitweise für einen Download zur Verfügung. 

Zusätzlich wurden aus den in der Antwort zu Frage 4 erwähnten Umständen 
vier Dokumente aus dem Bereich der Bundespolizeidirektion Koblenz (Bundes- 
polizeiinspektion Frankfurt/Main Bahnhof) aus dem Jahr 2009 veröffentlicht. 


6. Auf welche Weise hat sich nach Auffassung der Bundesregierung der An- 
griff auf Server des Zolls und der Bundespolizei zugetragen? 

Die PATRAS-Systeme des Zollfahndungsdienstes bzw. der Bundespolizei wur- 
den über einen automatischen softwarebasierten Scan auf definierte Schwach- 
stellen des Datenbankadministrationssystems ausfindig gemacht. Dabei wurde 
eine bestehende Sicherheitslücke in der Anwendung „phpMyAdmin“ für einen 
Zugriff auf die Systeme ausgenutzt. Diese Zugriffsmöglichkeit wurde über 
Dritte an die „No-Name-Crew“ herangetragen, die sie für eigene Zwecke (Er- 
höhung des Bekanntheitsgrades) ausnutzte. 
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Zusätzlich hat die „No-Name-Crew“ aus den in der Antwort zu Frage 4 er- 
wähnten Umständen vier Dokumente aus dem Bereich der Bundespolizei- 
inspektion Frankfurt/Main Bahnhof aus dem Jahr 2009 veröffentlicht, um den 
Eindruck zu erwecken, ihr wäre ein umfangreicher Einbruch in die internen 
Netze der Bundespolizei gelungen. 


7. Welche Behörde bzw. welches Bundesministerium zeichnet für die Aus- 
ermittlung der jüngst gemeldeten Angriffe auf Server des Zolls sowie der 
Bundespolizei verantwortlich? 

Aufgrund der Strafanzeigen des Zollkriminalamtes (ZKA) und der Bundespoli- 
zei hat die Staatsanwaltschaft (StA) Karlsruhe (zuständig für den Standort des 
angegriffenen PATRAS -Rechners des ZKA) ein Ermittlungsverfahren eröffnet 
und das Bundeskriminalamt (BKA) mit den bundesweiten Ermittlungen beauf- 
tragt. Dieses Verfahren wurde später an die für den Wohnort des ermittelten 
Tatverdächtigen zuständige StA Würzburg abgegeben. Hinsichtlich eines wei- 
teren Tatverdächtigen wurde ein zusätzliches Verfahren bei der StA Detmold 
eröffnet. Parallel hierzu führt die StA Köln ein Ermittlungsverfahren wegen 
eines Angriffs auf PATRAS -Systeme der Polizei Nordrhein- Westfalen, bei 
welchen das Landeskriminalamt Nordrhein- Westfalen mit den Ermittlungen 
beauftragt wurde. Entsprechend der Absprache der beteiligten Staatsanwalt- 
schaften ist Gegenstand der Ermittlung der StA Würzburg der Angriff auf die 
Server des Zolls und der Bundespolizei und die Weitergabe der gewoimenen 
Daten an die „No-Name-Crew“, während durch die StA Köln die Nutzung der 
herangetragenen Daten sowie weitere durch die „No-Name-Crew“ begangene 
Straftaten ermittelt werden. 

Im Hinblick auf IT-Sicherheit und Schlussfolgerungen/Prävention werden die 
Ermittlungsergebnisse jedoch auch von den zuständigen Ressorts, Bundesmi- 
nisterium des Iimem und Bundesministerium der Finanzen, weiterhin verfolgt 
und bewertet. 


8. Zu welchem Zeitpunkt und mit welcher konkreten Aufgabenstellung bzw. 
mit welchem konkreten Ziel wurde das neu geschaffene Cyber-Abwehr- 
zentrum eingeschaltet? 

Welche konkreten Ergebnisse hat die Einbeziehung des Cyber-Abwehrzen- 
trums bei der Aufklärung der Vorfälle ergeben? 

Das Nationale Cyber- Abwehrzentrum (Cyber- AZ) wurde am 8. Juli 2011 in 
den Vorfall eingeschaltet. Die Aufgabe des Cyber-AZ ist, alle Beteiligten mit 
den notwendigen Informationen zu versorgen. 

In diesem Fall hat das Cyber-AZ alle verfügbaren Informationen über den Vor- 
fall und die Hackergruppe „No-Name-Crew“ zusammengetragen und diese den 
beteiligten Behörden zur Verfügung gestellt. 


9. Zu welchem Zeitpunkt fanden erstmalig Angriffe auf Server bundesdeut- 
scher Behörden statt, die der Gruppe „No-Name-Crew“ zugerechnet wer- 
den? 

Zum gegenwärtigen Zeitpunkt können der „No-Name Crew“ außer dem An- 
griff auf die PATRAS -Systeme keine weiteren Angriffe auf Server bundesdeut- 
scher Behörden zugeordnet werden. Nach derzeitigem Stand der Ermittlungen 
hat die „No-Name-Crew“ die Zugangsdaten von anderen Hackern bekommen 
und im Juni 2011 erstmalig auf die PATRAS -Systeme zugegriffen. 
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10. Zu welchem Zeitpunkt fand der Angriff statt, der den oben bezeichneten 
Zugriff auf das sogenannte Patras-System ermöglichte? 

Die Ermittlungen zum Angriff auf die PATRAS-Systeme der Bundespolizei 
und der Zollfahndung sind noch nicht abgeschlossen. Nach jetzigem Stand 
wurden die eingesetzten Server erstmalig am 8. September 2010 kompromit- 
tiert. Mindestens seit dem 25. Mai 2011 sind Daten von den Systemen herunter- 
geladen worden. 


1 1 . Kann die Bundesregiemng ausschließen, dass bei den eingangs beschrie- 
benen Vorgängen auch Daten und Informationen, die nachvollziehbare 
personenbeziehbare Hinweise auf verdeckt durchgeführte Ermittlungs- 
vorgänge gegen Tatverdächtige im Rahmen des Einsatzes von Patras ent- 
halten, für Unbefugte zugänglich geworden sind? 

Wenn nein, mussten bereits entsprechende Konsequenzen beobachtet 
werden oder selbst gezogen werden, wie z. B. die Aufhebung der Tar- 
nung von Ermittlern oder der Abbmch von Ermittlungen, zum Schutz 
von verdeckt tätigen Mitarbeitern? 

Nach den bisherigen Erkenntnissen sind keine Einsatzdaten der Bundespolizei 
kompromittiert worden. Zudem lassen sich aus den im PATRAS-System der 
Bundespolizei vorgehaltenen Daten durch Unbefugte keine Zusammenhänge 
zu Verfahren oder Ermittlungen hersteilen. 

Im Bereich des Zollfahndungsdienstes sind anonyme Geo-Daten aus Peil- und 
Ortungsmaßnahmen entwendet worden. Die Verknüpfung der Positionsdaten 
mit dem konkreten Ermittlungsverfahren durch die ermittelnde Dienststelle 
erfolgt ausschließlich über andere, nicht mit dem Zielverfolgungssystem 
„PATRAS“ verbundene und besonders geschützte Informationssysteme des 
Zollfahndungsdienstes. In einem Fall (siehe Antwort zu Frage 4) wurden 
irrtümlich personenbezogene Daten in einem Protokoll auf dem betroffenen 
Server abgelegt. 

Die betreffenden Ermittlungsverfahren des Zollfahndungsdienstes sind über- 
wiegend bereits abgeschlossen. Es ist davon auszugehen, dass keine laufenden 
Ermittlungen gefährdet sind. Es mussten daher keine Ermittlungen abge- 
brochen werden. 


12. Ist es zutreffend, dass das gesamte Peil- und Ortungssystem Patras auf- 
grund des Angriffs und des unklaren Ausmaßes der Betroffenheit der IT- 
Systeme vorübergehend abgeschaltet werden musste? 

Wenn ja, für welchen Zeitraum und mit welchen konkreten Konsequen- 
zen für die ermittelnden Behörden bzw. die einzelnen zu diesem Zeit- 
punkt über das System laufenden Vorgänge bzw. Ermittlungen? 

Alle eingesetzten PATRAS-Zielverfolgungssysteme wurden vorsorglich abge- 
schaltet und die vorhandenen Daten gesichert. Diese Abschaltung der Systeme 
dauert bis auf weiteres an. 

Die Ermittlungen mit Zielverfolgung können, allerdings mit höherem Aufwand 
weitergeführt werden. 


13. Auf welche Weise und durch welche Stellen wurde nach Bekanntwerden 
versucht, den Tathergang aufzuklären, und ist dies nach Ansicht der Bun- 
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desregierung inzwischen in einem zufriedenstellenden Ausmaß gelun- 
gen? 

Das ZKA und die Bundespolizei haben Strafanzeigen gegen Unbekannt ge- 
stellt. Durch die jeweils zuständigen Staatsanwaltschaften wurden das BKA 
und das Landeskriminalamt Nordrhein- Westfalen mit den Ermittlungen beauf- 
tragt. Diese Ermittlungen werden in enger Abstimmung zwischen allen betei- 
ligten Behörden durchgeführt. 

Das Bundesamt für die Sicherheit in der Informationstechnik hat in Zusammen- 
arbeit mit den betroffenen Behörden die computerforensische Untersuchung 
der eingesetzten Technik vorgenommen. 

Die Ermittlungen der Staatsanwaltschaft sowie die damit im Zusammenhang 
stehenden forensischen Auswertungen der beschlagnahmten Computertechnik 
dauern an; daher kann zum laufenden Verfahren keine Auskunft gegeben wer- 
den. 


14. Welchen Anteil an der Aufklämng hat das Geständnis des 23-jährigen, 
vorübergehend festgenommenen mutmaßlichen Täters? 

Hierzu kann die Bundesregierung keine Aussage machen. Es wird Aufgabe der 
Justiz sein, das Geständnis — ggf. im Rahmen der freien Beweiswürdigung — in 
die Beurteilung des gesamten Sachverhaltes einfließen zu lassen. 


15. Waren nach Einschätzung der Bundesregiemng für die Tatausfühmng 
überdurchschnittliche Fähigkeiten und/oder Erfahrungen erforderlich, 
oder genügten angesichts der von den Tätern angetroffenen Sicherheits- 
vorkehmngen im Wesentlichen durchschnittliche Kenntnisse, wie sie bei- 
spielsweise in einschlägigen Foren etc. vermittelt werden? 

Beim Angriff auf die Bundespolizei/den Zollfahndungsdienst waren verschie- 
dene Tätergruppen mit unterschiedlichen, teils überdurchschnittlichen Fähig- 
keiten beteiligt. Schlussendlich waren für die eigentliche Ausnutzung der dann 
identifizierten Schwachstellen lediglich durchschnittliche Fähigkeiten ausrei- 
chend. 


16. Wird der Bericht des Bundesamtes für Sicherheit in der Informa- 
tionstechnik über den Hergang in dem dafür erforderlichen Umfang zur 
Information der Öffentlichkeit zur Verfügung gestellt? 

Wenn nein, weshalb nicht? 

Der Bericht wird nicht veröffentlicht; er ist als Verschlusssache (VS - Nur für 
den Dienstgebrauch) eingestuft. Eine Veröffentlichung kaim für die Sicher- 
heitsinteressen des Bundes nachteilig sein. 


17. Teilt die Bundesregiemng die Auffassung, dass auch öffentliche Stellen, 
wie es etwa der Bundesbeauftragte für den Datenschutz und die Informa- 
tionsfreiheit, Peter Schaar, kürzlich forderte und es jüngst in Schleswig- 
Holstein gesetzlich geregelt wurde, einer Informationspflicht bei Sicher- 
heitsvorfällen zumindest gegenüber den Datenschutzbehörden unterlie- 
gen sollten? 
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Wenn nein, was spricht aus Sicht der Bundesregierung gegen eine auf 
diese Weise mögliche unabhängige Drittkontrolle der vorgenommenen 
Sicherheitsvorkehrungen verantwortlicher Stellen? 

Die Frage zielt auf eine Erweiterung der Regelung des § 42a des Bundesdaten- 
schutzgesetzes (BDSG), die eine umfangreiche Informationspflicht für eine 
nicht-öffentliche Stelle im Siime des § 2 Absatz 4 oder eine öffentliche Stelle 
nach § 27 Absatz 1 Satz 1 Nummer 2 BDSG bei unrechtmäßiger Kenntnis- 
erlangung von Daten vorsieht, auf alle öffentlichen Stellen des Bundes. § 42a 
BDSG ist erst am 1. September 2009 in Kraft getreten. Gemäß § 48 Satz 1 
BDSG muss die Bundesregierung dem Deutschen Bundestag bis zum 31. De- 
zember 2012 u. a. über die Auswirkungen des § 42a BDSG berichten. Im Hin- 
blick hierauf ist es verfrüht, jetzt bereits Aussagen zu einem eventuellen Ände- 
rungsbedarf des § 42a BDSG zu treffen. 


18. Auf welche Weise ist das Zielinformationssystem Patras informa- 
tionstechnisch in die IT-Infrastmktur integriert? 

Welche Behörden haben auf welcher Rechtsgmndlage Zugriffs- bzw. 
Nutzungsrechte? 

Die PATRAS-Systeme der Bundespolizei und des Zollfahndungsdienstes waren 
„Standalone“-Systeme, die sich nicht innerhalb der jeweiligen IKT-Netze der 
Behörden befanden. Daher wurden keine weiteren Systeme der Bundespolizei 
und des Zollfahndungsdienstes kompromittiert. 

Das von der Bundespolizei betriebene PATRAS-System wurde nur von der 
Bundespolizei genutzt. Andere Behörden haben in ihrem Zuständigkeitsbereich 
im Rahmen eigener Befugnisse eigene PATRAS-Systeme betrieben. 


19. Wer ist die datenschutzrechtlich verantwortliche Stelle für den Betrieb 
des Patras-Systems, und in welchem Umfang werden welche Arten von 
personenbezogenen Daten in Patras bzw. der dafür geschaffenen Infra- 
struktur gespeichert? 

Ist es zutreffend, dass die Bundespolizei datenschutzrechtlich im Sinne 
eines Auftragnehmers einer Auftragsdatenverarbeitung tätig wird? 

Alle Nutzer des Zielverfolgungssystems PATRAS haben eigene Server für ihre 
Ermittlungen betrieben und sind damit eigenverantwortlich für die Umsetzung 
der datenschutzrechtlichen Bestimmungen. 

Datenschutzrechtlich verantwortliche Stelle für den angegriffenen Server der 
Bundespolizei ist das Bundespolizeipräsidium. 

Es werden keine personenbezogenen Daten gemäß § 3 Absatz 1 BDSG im 
PATRAS-System der Bundespolizei verarbeitet oder gespeichert. 

Der angegriffene Server des Zollfahndungsdienstes wird vom Zollkriminalamt 
betrieben, das somit auch die datenschutzrechtlich verantwortliche Stelle ist. 
Dieser GPS-Server des Zollfahndungsdienstes diente jedoch ausschließlich der 
Anwendung zur Peilung und Ortung von Zielobjekten durch Spezial einheiten. 
Es wurden dabei anonyme, grundsätzlich nicht personenbezogene Daten für 
den Zollfahndungsdienst erhoben, verarbeitet oder genutzt. Die Verknüpfung 
der erhobenen Positionsdaten mit einem konkreten Ermittlungsverfahren er- 
folgte erst durch die ermittlungsführende Dienststelle über andere nicht mit 
dem GPS-Server verbundene und besonders geschützte Informationssysteme. 

Da jede Behörde eigene PATRAS-Systeme zur Unterstützung ihrer Ermittlun- 
gen eingesetzt hat, wird die Bundespolizei hier nicht als Auftragnehmer für 
eine Auftragsdatenverarbeitung gemäß § 11 Absatz 1 BDSG tätig. 
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20. Welche Verantwortlichkeiten für IT-Sicherheit und Datenschutz beim 
Einsatz des Patras-Systems treffen nach Auffassung der Bundesregierung 
die ebenfalls mitnutzenden Landeskriminalämter (LKA), das Bundeskri- 
minalamt sowie den Zoll bzw. das Zollkriminalamt? 

Sind nach Auffassung der Bundesregierung insoweit alle das System ein- 
setzenden Stellen den Vorgaben entsprechend ordnungsgemäß vorgegan- 
gen? 

Jeder Nutzer von PATRAS betreibt eigenverantwortlich ein PATRAS-System 
und ist somit auch für die IT-Sicherheit und den Datenschutz verantwortliche 
Stelle. Das BKA nutzt kein PATRAS-System. 

Da die Untersuchungen zu den Angriffen auf die PATRAS -Systeme noch nicht 
beendet sind, kann hierzu noch nicht abschließend Stellung genommen werden. 

Der Vorfall wird aber zum Anlass genommen, die bisherigen Sicherheitskon- 
zepte für die Informations- und Kommunikationsinfrastmktur und deren Um- 
setzung auf den Prüfstand zu stellen. Dabei sind auch die Sicherheitsstrukturen 
sowie die Informations- und Meldewege zu überprüfen und gegebenenfalls an- 
zupassen. Über weitergehende Maßnahmen wird nach Abschluss der Schwach- 
stellenanalyse entschieden. 


21. Ist es zutreffend, dass in der Bundespolizeikaseme Swisstal-Heimerz- 
heim ein zentraler Server für den Betrieb von Patras steht, welcher über 
das Internet mit den weiteren, das System einsetzenden Behörden (LKA, 
BKA, Zoll) verbunden ist? 

Wurde nach Kenntnis der Bundesregierang auch dieser Server durch Tro- 
janer befallen, und wenn ja, zu welchem Zeitpunkt? 

Im Bundespolizei-Standort Swisttal-Heimerzheim wurde ein zentraler Server 
für die Zielverfolgung der Bundespolizei sowie für die Bereitstellung der Soft- 
warepakete (Downloadserver) zur Installation von PATRAS -Systemen betrie- 
ben. 

Für die Bundespolizei war der Downloadserver von der Kompromittierung mit 
Schadsoftware betroffen. Lediglich zu diesem Downloadserver von PATRAS 
hatten andere Behörden temporären Zugriff. Eine Sicherheitslücke im verwen- 
deten Datenbankverwaltungsprogramm „phpMyAdmin“ erlaubte, wie bereits 
in der Antwort zu Frage 6 dargestellt, das Einschleusen von Schadsoftware und 
somit den illegalen Zugriff auf den Server. 


22. Welche Sicherheitsvorkehrangen sieht die Bundespolizei generell für den 
Schutz ihrer Netzwerke vor Angriffen aus dem Internet vor? 

Die Netzwerke der Bundespolizei (BPOLNET) sind nicht direkt mit dem Inter- 
net verbunden. Das BPOLNET hat nur Übergänge in die sicheren Behörden- 
netze (IVBB/BVN) und das Corporate Network der Polizeien (CNP). 

Übergänge zu Netzen Dritter sind mit einer dreistufigen Firewall abzusichern. 


23. Welche Systeme werden über das Internet mit anderen Behörden verbun- 
den, und welche Sicherheitsvorgaben bestehen für die Anbindung über 
das Internet? 

IT-Systeme der Bundespolizei werden nicht mit anderen Behörden über das In- 
ternet verbunden. Im Übrigen wird auf die Antwort zu Frage 22 verwiesen. 
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24. Bestehen bei Bundespolizei, Zoll und Bundeskriminalamt Sicherheits- 
vorgaben für die Inbetriebnahme eines Programmes wie Patras? 

Wenn ja, welche? 

Für diese Systeme der Sonderinformations- und Kommunikationstechnik bei 
den genannten Behörden gibt es jeweils Sicherheitsvorgaben auf Basis der 
Grundschutzvorgaben des BSl. 


25. Wurden für Patras Vorabkontrollen und/oder Erlaubnisverfahren durch 
das BSl und den Bundesbeauftragten für den Datenschutz und die Infor- 
mationsfreiheit durchgeführt? 

Wenn nein, weshalb nicht? 

Bei den angegriffenen PATRAS -Systemen der Bundespolizei und des Zollfahn- 
dungsdienstes gab es bisher keine Vorabkontrollen und/oder Erlaubnisverfah- 
ren durch das BSl. Nach Abschluss der Ermittlungen ist vorgesehen, das 
PATRAS-System neu zu konfigurieren. Eine Überprüfung der neuen PATRAS- 
Systeme durch das BSl ist vorgesehen. 

Da in PATRAS keine personenbezogenen Daten verarbeitet werden sollen, 
wurde von einer Beteiligung des Bundesbeauftragten für Datenschutz abgese- 
hen. 


26. Hat es in der Vergangenheit bereits unabhängige Prüfüngen des Wirkbe- 
triebes von Patras seitens des BSl und/oder des Bundesbeauftragten für 
den Datenschutz und die Informationsfreiheit gegeben? 

Ist jetzt eine entsprechende Prüfüng vorgesehen? 

Bei den angegriffenen PATRAS -Systemen der Bundespolizei und des Zollfahn- 
dungsdienstes gab es bisher keine unabhängigen Überprüfungen des Wirkbe- 
triebes durch das BSl. Nach Abschluss der Ermittlungen ist vorgesehen, das 
PATRAS-System neu zu konfigurieren. Eine Überprüfung der neuen PATRAS- 
Systeme durch das BSl ist vorgesehen. 


27. Wie konnten aus Sicht der Bundesregierung die entsprechenden Schad- 
programme die Schutzvorkehrungen bei der Bundespolizei bzw. den an- 
geschlossenen Behörden überwinden? 

Wie in der Antwort zu Frage 6 schon ausgeführt, wurden die PATRAS -Systeme 
des Zollfahndungsdienstes bzw. der Bundespolizei über einen automatischen 
softwarebasierten Scan auf definierte Schwachstellen des Datenbankadminis- 
trationssystems ausfindig gemacht. Dabei wurde eine bestehende Sicherheits- 
lücke in der Anwendung „phpMyAdmin“ für einen Zugriff auf die Systeme 
ausgenutzt. 


28. Hat die Bundespolizei verantwortlich Sicherheitssoftware für den Betrieb 
von Patras an die beteiligten Behörden ausgeliefert, und wenn ja, welche? 

Handelte es sich dabei um das in diesem Zusammenhang von mehreren 
Quellen unter anderem auch im Internet unabhängig voneinander er- 
wähnte Programm XAMP? 

Die Bundespolizei hat mit PATRAS ein XAMPP-Paket für das Betriebssystem 
Windows ausgeliefert. Bei XAMPP handelt es sich um eine Zusammenstellung 
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von freier Software. XAMPP ermöglicht das einfache Installieren und Konfigu- 
rieren des Webservers Apache mit der Datenbank MySQL bzw. SQLite und 
den Skriptsprachen Perl und PHP. Es handelt sich bei XAMPP nicht um eine 
Sicherheitssoftware. Die Nutzung von XAMPP ist für den Betrieb von 
PATRAS nicht notwendig. Die Bundespolizei hat XAMPP bei PATRAS ledig- 
lich mitgeliefert, um den nutzenden Behörden die Inbetriebnahme zu erleich- 
tern. 


29. Wie bewertet die Bundesregiemng die Tatsache, dass die Bundespolizei 
dieses Programm zum Einsatz brachte bzw. den beteiligten Behörden zur 
Absicherung empfahl, dass selbst von Zollbeamten und der Bundesnetz- 
agentur für diesen Zweck für ungeeignet gehalten wird? 

Der Bundesregierung sind die dargestellten Bedenken der Bundesnetzagentur 
nicht bekannt. Bedenken des ZKA wurden im Zusammenhang mit der Analyse 
der Angriffe auf die PATRAS-Systeme an das BMF berichtet. 


30. Lagen konkrete Handlungsanweisungen für den Einsatz von Patras durch 
Behörden seitens der Bundespolizei vor? 

Wenn ja, wurde dort die datenbankmäßige Speichemng von Passwörtern 
im Klartext nahegelegt? 

Sollte dies der Fall gewesen sein, wie bewertet die Bundesregierung eine 
derartige Vorgabe? 

Die Bundespolizei hat dem Installationspaket für die PATRAS-Systeme auch 
ein Handbuch mit entsprechenden Handlungsanweisungen beigefügt. 

Eine datenbankmäßige Speicherang von Passwörtern im Klartext wurde in den 
Handlungsanweisungen nicht nahegelegt. 


3 1 . Seit wann ist der Bundesregierung bzw. den zuständigen Stellen bekannt, 
dass aufgrund einer Mailumleitung auf den Privatrechner eines Zollmitar- 
beiters dienstliche Informationen für unbefugte Dritte zugänglich waren? 

Im Rahmen der Ermittlungen in Zusammenhang mit den Aktivitäten der „No- 
Name-Crew“ wurde am 18. Juli 201 1 bekaimt, dass ein Beamter der Bundespo- 
lizei über einen längeren Zeitraum dienstliche E-Mails an sein privates E-Mail- 
postfach weitergeleitet hat. Bei einer durch die StA Köln angeordneten Durch- 
suchung der privaten Wohnung des Beamten der Bundespolizei gemäß § 103 
der Strafprozessordnung (StPO) wurde am 24. Juli 2011 u. a. der private Rech- 
ner des Beamten sichergestellt. 

Derzeit ist kein Fall bekannt, in dem aufgrund einer Mailumleitung auf den Pri- 
vatrechner eines Zollbeamten dienstliche Informationen für unbefugte Dritte 
zugänglich waren. 


32. Für welchen Gesamtzeitraum kann nicht ausgeschlossen werden, dass 
Daten und Informationen dieser Stellen für den Zugriff unbefugter Dritter 
offenstanden? 

Da es sich hier um ein laufendes Ermittlungsverfahren handelt, kann zu diesem 
Zeitpunkt keine Auskunft darüber gegeben werden. 
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33. Ist es zutreffend, dass aufgrund des genannten Falles eines Zollmitarbei- 
ters, welcher eine Mailumleitung von seinem dienstlichen auf seinen pri- 
vaten Rechner vorgenommen hatte, nunmehr einzelne Landeskriminal- 
ämter per Dienstanweisung entsprechende Mailumleitungen untersagt ha- 
ben? 

Wenn ja, um welches LKA handelt es sich? 

ln Bezug auf die Kompromittierung des privaten Rechners eines Beamten der 
Bundespolizei wird auf die Antwort zu Frage 3 1 verwiesen. 

Die Bundesregierung hat zu den außerhalb ihres Verantwortungsbereichs lie- 
genden Maßnahmen der Bundesländer keine detaillierten Erkenntnisse. 


34. Sind entsprechende Mailumleitungen auch bei anderen polizeilichen 
Bundesbehörden technisch möglich? 

Welche Regelungen bestehen zu Mailumleitungen auf Bundesebene bei 
den betroffenen Behörden Bundeskriminalamt, Zoll und Bundespolizei? 

Beim BKA, dem Zollfahndungsdienst und bei der Bundespolizei sind E-Mail- 
weiterleitungen an private E-Mailkonten für alle Nutzer untersagt. 

Im BKA und dem Zollfahndungsdienst werden automatische Mailumleitungen 
technisch unterbunden. 

ln Auswertung dieses Sicherheitsvorfalls wurde bei der Bundespolizei eben- 
falls die automatische Mailumleitung technisch unterbunden. 


35. Liegt nach Auffassung der Bundesregierang in den vorliegend geschil- 
derten Sachverhalten vorwerfbares Fehlverhalten vor? 

Wer trägt, soweit die geschilderten Sicherheitslücken zutreffen sollten, 
die Verantwortung dafür, und welche Konsequenzen zieht die Bundesre- 
gierung aus diesen Vorgängen? 

Die Ermittlungen zu den Sicherheitsvorfällen dauern an. Dienstliche Konse- 
quenzen werden geprüft. 
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